Uno studio dell’It Policy Compliance Group rivela le pratiche virtuose delle aziende che traggono vantaggio da una compliance ben fatta
L’It Policy Compliance Group, organizzazione impegnata per far progredire il grado di conformità It delle aziende a cui partecipano Computer Security Institute, The Institute of Internal Auditors, Protiviti, Isaca, It Governance Institute e Symantec ha rilasciato il nuovo report, “Core Competencies for Protecting Sensitive Data”, redatto basandosi su benchmark.
L’analisi, che include il feedback di oltre 450 organizzazioni a livello mondiale, mette in risalto come solo un’azienda su dieci sia in grado di proteggere in maniera adeguata i propri dati sensibili.
I benchmark che costituiscono la base dello studio, sono stati condotti con 454 organizzazioni fra i mesi di febbraio e marzo 2007. Il margine di errore della ricerca è del 4,5%. La maggioranza delle organizzazioni che ha partecipato ai benchmark ha sede negli Stati Uniti.
Lo studio analizza anche le variabili che creano la differenza fra aziende “leader” e realtà meno capaci nei confronti della protezione dei dati, definite “laggard”, offrendo un approfondimento sulle best practice che possono contribuire a migliorare questa disciplina, incrementare i livelli di conformità e consentire un vantaggio competitivo sostenibile.
Uno dei risultati più significativi della ricerca è la correlazione fra protezione dei dati sensibili e livelli di conformità normativa: le aziende che sanno ben tutelare le informazioni sensibili prestano molta attenzione anche al rispetto delle norme vigenti.
Quasi tutte le organizzazioni (96%) che presentano livelli minimi di perdite di dati sensibili sono esattamente le stesse che devono apportare il minor numero di correzioni ai meccanismi di conformità necessari per superare le verifiche normative. Al contrario, la maggioranza di aziende (64%) con un elevato tasso di perdite di dati sensibili sono le stesse che denunciano mancanze rilevanti sul fronte della conformità.
Le competenze chiave identificate nello studio rientrano in tre categorie: struttura e strategia organizzativa, customer intimacy ed eccellenza operativa.
Prendendo in esame le aziende leader, ossia quelle che presentano la minore quantità di perdite di dati sensibili, rispetto alle realtà più indolenti che di conseguenza hanno tassi di perdita dati più significativi, è possibile comprendere quanto sia importante definire un numero limitato di policy o di obiettivi di controllo effettuando per contro un numero superiore di valutazioni e facendo leva sulla gestione del cambiamento It per prevenire l’uso o le modifiche non autorizzate.
Risulta che i leader definiscono una media di 30 obiettivi di controllo e conducono valutazioni una volta ogni 19 giorni. Queste aziende subiscono su base annua un massimo di due episodi o meno di perdita di dati e di due casi o meno di carenza normativa.
I laggard, invece definiscono una media di 82 obiettivi di controllo e conducono valutazioni ogni 230 giorni. Questa fascia di aziende sperimenta su base annua 13 o più episodi di perdita di dati e 22 o più situazioni di carenza normativa.
Lo studio indica, anche, che la qualità dei controlli non è importante quanto invece può esserlo la loro idoneità rispetto a rischi specifici e la frequenza con la quale questi controlli vengono effettuati. Le aziende che non si avvalgono di controlli adeguati al rischio e che non ne valutano l’efficacia da un punto di vista procedurale e tecnico con una certa frequenza sono più soggette a episodi di furto o perdita di dati. Le realtà aziendali che addirittura non attuano alcun controllo o valutazione sono quelle che subiscono i maggiori tassi di perdita e furto di informazioni.
Le organizzazioni con minori perdite di dati sono quelle che conseguono i migliori risultati nell’ambito della conformità normativa. Queste aziende dispongono di un ventaglio di competenze in grado sia di minimizzare la perdita di dati e migliorare il livello di conformità, sia di ridurre al minimo anche l’impatto finanziario causato dalle falle nei dati, supportando un vantaggio competitivo sostenibile.
Le competenze chiave includono struttura e strategia organizzativa (con attuazione di un programma di conformità world-class e ridefinizione di controlli interni, funzioni di gestione del rischio e della sicurezza It), customer intimacy (definizione di ruoli e responsabilità degli addetti alle policy con attuazione di un programma di formazione per i dipendenti e gestione di casi di eccezione alle policy), eccellenza operativa, con ampliamento del raggio della verifica interna alla maggior parte delle funzioni business e resa degli obiettivi di controllo sensibili al rischio.